ページサイズ変更によるマシンチェックエラー: CVE-2018-12207

影響を受ける製品

以下の Red Hat 製品のバージョンが影響を受けます。

Red Hat Enterprise Linux 5
Red Hat Enterprise Linux 6
Red Hat Enterprise Linux 7
Red Hat Enterprise Linux 8
Red Hat Atomic Host
Red Hat Enterprise MRG 
OpenShift Container Platform
Red Hat OpenShift Online
Red Hat Virtualization (RHV-H)
Red Hat OpenStack Platform (イメージ同梱カーネル)

Red Hat Enterprise Linux ベースのコンテナーは、カーネルの問題の影響を直接受けませんが、そのセキュリティーはホストカーネル環境の整合性に依存しています。Red Hat は、最新バージョンのコンテナーイメージを使用することを推奨します。Red Hat Container Catalog の一部である Container Health Index を使用すると、常に Red Hat コンテナーのセキュリティー状態を確認できます。使用中のコンテナーのプライバシーを保護するには、これらの攻撃に対して (Red Hat Enterprise Linux や Atomic Host といった) コンテナーホストを更新する必要があります。Red Hat は、このユースケース向けに更新された Red Hat Enterprise Linux Atomic Host をリリースしています。

脆弱性の診断

以下の診断スクリプトを使用して、現在ご使用のシステムにこの不具合による脆弱性が存在するかどうかを判断します。正規のスクリプトであることを確認する場合は、GPG 分離署名 もダウンロードします。

対処方法

影響のあるバージョンの Red Hat 製品をご使用のお客様は、エラータが入手可能になり次第、該当製品を更新することが強く推奨されます。適切な更新を早急に適用することが求められます。

影響を受ける製品の更新

影響

パフォーマンスへの影響

• RHEL 7 および RHEL 8 では、ほとんどの場合で影響は 0-4% の範囲でした。 テキストのフットプリントが小さい遅延に敏感なアプリケーション (ネットワークベンチマークなど) や、テキストのフットプリントが大きいアプリケーション (データベースワークロード) への影響はこの範囲内になる傾向にあります。 

• RHEL および RHEL 8 では、軽減策が有効な状態であれば KVM は実行可能な 4KB のページをバックグラウンドで実行不可能な Large page に戻し、コードが含まれないページのパフォーマンスを回復します。このリカバリープロセスでは、ゲストでまれに短い一時停止期間 (マイクロ秒の10 - 100 分の 1 程度) が発生します。ゲストが遅延に敏感なワークロードやリアルタイムワークロードを実行している場合、新たに導入されたモジュールパラメーター kvm.nx_huge_page_recovery_ratio=0 を使用して Large page のリカバリーを無効にすることが推奨されます。

• RHEL 6 では、テキストとデータ両方の Huge Page が 4K のページに分割されるため、パフォーマンスへの影響がより大きくなる可能性があります。

ホスト/ベアメタルシステム:

ベアメタルシステムで実行される権限を持たないアプリケーションは、ページング構造エントリーを変更 (または制御) できない可能性があります。たとえば、権限を持たないシステムソフトウェアはペーイング構造のページサイズ属性を更新できない可能性があるため、前述のサービス拒否状態を引き起こす原因となるマシンチェックエラー例外が発生しない可能性があります。

ハイパーバイザー/仮想ゲスト環境:

最も重要な攻撃ベクトルは、稼働する多数のゲスト VM がサービス拒否状態となるホスト (またはハイパーバイザー) システム上でマシンチェックエラー (MCE) を引き起こす仮想ゲストです。クラウド環境では、影響が最も深刻であるため、ゲスト内で実行されるゲストやコードは信頼できません。

2 つの軽減策

1. Intel 社のハードウェアマイクロコードの更新を適用すると、IA32_ARCH_CAPABILITIES MSR の新しい MSR (Machine Specific Register) ビット (6) が有効になります。

IA32_ARCH_CAPABILITIES[PSCHANGE_MC_NO=6]

このビット (6) の存在および状態 (0/1) は、CPU がこの DoS 問題に対して脆弱であるかどうか、およびカーネル/ハイパーバイザーでソフトウェアアルゴリズムによる軽減策が必要であるかどうかを示します。

2. ソフトウェアの更新をカーネル/KVM モジュールに適用すると、この問題を防ぐために以下の軽減策が提供されます。

• 4 KB よりも大きい Large page (または Huge page) を実行不可能にします。よって、ホストカーネル/ハイパーバーザーへのトラップは発生せず、プロセッサーは Large page (2MB、1GB など) にある命令を実行できなくなります。
• 実行不可能な Large page で命令が実行された場合、KVM は Large page を 4KB のページに分割し、4KB のページに実行権限を付与します。
• この軽減策を有効または無効にする、新しい kvm モジュールとコマンドライン起動パラメーター kvm.nx_huge_pages=force/off/auto が RHEL 7 および RHEL 8 に導入されました。
  • kvm.nx_huge_pages=off は軽減策を無効にし、Huge page を実行可能にします。
    • 既存の "mitigations=off" カーネルコマンドラインフラグも、カーネルの起動時にこの CVE を無効にすることができます。
  • kvm.nx_huge_pages=auto は CPU が影響を受ける場合にのみ軽減策を有効にします。
  • kvm.nx_huge_pages=force は軽減策を有効にします。
  • 以下の例のように、/sys/module/kvm/parameters/nx_huge_pages を使用すると、起動時にこの CVE を有効または無効にすることができます。
    • echo off > /sys/module/kvm/parameters/nx_huge_pages
    • echo auto > /sys/module/kvm/parameters/nx_huge_pages
    • echo force > /sys/module/kvm/parameters/nx_huge_pages
• この軽減策を有効または無効にする、新しい kvm モジュールとコマンドライン起動パラメーター kvm.no_huge_pages=0/1 が RHEL 6 に導入されました。
  • kvm.no_huge_pages=0 は軽減策を無効にします。
  • kvm.no_huge_pages=1 は軽減策を有効にします。
  • 軽減策はデフォルトで無効になっており、実行時に変更することはできません。

3. カーネル/KVM の更新には、ユーザーがシステムの脆弱性を検索し、軽減策が有効であるかを確認できる以下の sysfs インターフェースが導入されました。

$ cat /sys/devices/system/cpu/vulnerabilities/itlb_multihit
-Not affected
-KVM Mitigation: Split huge pages
-KVM Vulnerable: no mitigation enabled

軽減策

この不具合の影響を受ける Red Hat 製品にカーネルパッケージの更新または kpatch を適用することが、唯一の既知の軽減策になります。

Red Hat は、ゲストオペレーティングシステムがこの不具合を悪用しないようにする修正を KVM 仮想技術に追加しました。他の仮想化ベンダーも特定の修正を実装している可能性があります。仮想化ベンダーに連絡し、更新または軽減策の情報について相談してください。